Popüler bir açık kaynak aracı olan Amazon Web Services Cloud Development Kit (CDK), siber ekiplerin Python ve JavaScript gibi yaygın olarak kullanılan programlama dilleriyle yazılım tanımlı bulut altyapısını kolaylıkla oluşturmasına olanak tanır. Ancak sorun şu: Dağıtım sırasında ve varsayılan olarak AWS CDK, tehlikeli derecede öngörülebilir bir adlandırma kuralına sahip bir “aşamalama” S3 klasörü oluşturur ve bu, tehdit aktörleri tarafından istismar edilirse ilgili hesaba tam yönetim erişimine yol açabilir.
bir yeni raporAqua’dan araştırmacılar, AWS’nin güvenlik açığının CDK kullanıcılarının yaklaşık %1’ini etkilediğini doğruladığını söyledi. AWS daha sonra Ekim ortasında sorundan etkilenenleri bilgilendirdi. CDK v2.148.1 veya önceki sürümleri kullanıcıların işlem yapmasını gerektirir.
Aqua’nın baş güvenlik araştırmacısı Yakir Kadkoda, “AWS’ye dayanan açık kaynak projeleri için önemli bir çıkarım, tahmin edilebilir klasör adları kullanmamalarını sağlamaktır” diyor. “Kullanıcılara, açık kaynak projesinin çalışması için oluşturduğu paket adını değiştirme veya bu tür güvenlik açıklarından kaçınmak için paket sahibi üzerinde bir kontrol uygulama seçeneği sunmalılar.”
Kadkoda, ilişkili bir CVE numarası olmayan güvenlik açığının doğada istismar edilip edilmediğini bilmenin mümkün olmadığını ekliyor.
S3 Bucket Namesquatting ve Bucket Sniping Nedir?
Raporda, güvenlik açığının, AWS’nin çeşitli dağıtım varlıklarını depolamak için bir S3 hazırlama paketi oluşturduğu önyükleme süreci sırasında ortaya çıktığı belirtildi. Çünkü bunların adı AWS S3 paketleri Şu modeli izleyin: cdk-{qualifier}-assets-{account-ID}-{Region}, ekip, düşmanların bu paketlerden herhangi birine girmesi gereken tüm alanların hesap kimlik numarası ve bölge olduğunu buldu; bunlar arasında değişen tek alanlar kovadan kovaya.
Bu, saldırganların mevcut bir S3 klasörüne sızmasına olanak vermekle kalmıyor, aynı zamanda tamamen yeni bir S3 klasörü de oluşturabiliyor.
“Saldırgan paketi önceden ayarlarsa, kullanıcı daha sonra belirli bir bölgeden CDK’yı önyüklemeye çalıştığında işlem sırasında bir hatayla karşılaşacaktır çünkü önyükleme işleminin oluşturmaya çalıştığı CDK paketi zaten mevcuttur.” Aqua raporu eklendi. “Belgeler, varsayılan olmayan bir niteleyicinin seçilmesini önerir.”
Bu, raporun “S3 kova isimlerini işgal etme” veya “kovayı gözetleme” olarak adlandırdığı bir taktiktir ve tehdit aktörüne hedef AWS hesabı içinde kötü amaçlı kod yürütme yeteneği verir.
Raporda “Bir hatırlatma olarak, CDK hazırlama paketinin CloudFormation şablonları içerdiği” belirtildi. “Bir saldırgan diğer kullanıcıların CDK hazırlama grubuna erişim kazanırsa, bu dosyalar kolayca tahrif edilebilir ve arka kapı açılabilir, bu da dağıtım sırasında kurbanın hesabına kötü amaçlı kaynakların enjekte edilmesine olanak tanır.”
Bu son rapor, Aqua’nın tehlikelere ilişkin önceki analizini genişletmektedir. S3 paketlerini yapılandırma kolayca tahmin edilebilecek isimlerle açık kaynak araçlara aktarılır.
Kadkoda, “Bu araştırma, gelecekte bu tür sorunlara karşı savunmasız kalmamak için öngörülebilir klasör adlarını kullanmamanın ve AWS hesap kimliğini gizli tutmanın önemini vurguluyor” diye tavsiyede bulunuyor.
